Escucha este artículo aquí:
Hay una idea que se está volviendo incómodamente cierta en muchas organizaciones: la seguridad reacciona bien… pero llega tarde. Detectamos, contenemos, restauramos. Y, aun así, los costos suben: tiempo perdido, equipos saturados, interrupciones operativas y decisiones que se toman bajo presión.
TrendAI plantea un giro interesante: ¿y si empezamos a pensar los ataques como “brotes” (outbreaks), igual que en salud pública? No para dramatizar, sino para usar la analogía correcta. En un brote, lo valioso no es solo atender al paciente; es entender los patrones que aumentan la probabilidad de contagio y actuar antes. En ciberseguridad, esa prevención tiene un nombre más aterrizado: gestión proactiva del riesgo basada en comportamiento y predicción.
El punto de partida: el riesgo no es aleatorio
La investigación de TrendAI parte de una premisa fuerte: el riesgo en endpoints no ocurre “por suerte”. Está influenciado por comportamientos del usuario y por patrones de uso del equipo. Para probarlo, analizaron actividad de endpoints a gran escala (más de 10 millones) y concluyeron que el riesgo es altamente dependiente del contexto.
Esto importa porque cambia la conversación con el negocio. Si el riesgo no es aleatorio, entonces se puede modelar, explicar y reducir con acciones concretas. Ya no es solo “reforzar controles”, sino identificar quiénes y qué máquinas están operando en condiciones de mayor exposición.
Del “alerta-respuesta” a “probabilidad-prevención”
El estudio propone combinar analítica conductual con modelado estadístico para anticipar la exposición a malware. En lugar de esperar una señal de ataque, el objetivo es estimar la probabilidad de futuros “brotes” por endpoint y por tipo de malware, con un enfoque más explicable que la típica caja negra.
La clave aquí es el tipo de señales. No se trata únicamente de indicadores de compromiso; se trata de patrones cotidianos que aumentan la exposición. Por ejemplo, el análisis relaciona ciertas conductas con incrementos medibles de riesgo para clases específicas de malware.
Qué encontraron (y por qué es útil en operación)
TrendAI describe, entre otros hallazgos, asociaciones claras entre comportamiento y riesgo. Algunos ejemplos que ilustran la idea:
- Tener una cantidad muy alta de aplicaciones instaladas (más de 159) incrementa la probabilidad de encontrarse con software “backdoored” (como troyanos) en un 61%, lo que sugiere ausencia de políticas de control/whitelisting en el entorno.
- Visitar sitios de apuestas se asoció con mayor exposición a PUAs (+91%), troyanos (+78%) y “hacktools” (+37%), mostrando cómo los criminales adaptan sus modelos de distribución según el tipo de sitio.
- Usar el endpoint principalmente de noche (85% del tiempo) se asoció con hasta 92% más riesgo de infección por ransomware, interpretado como mayor probabilidad de conductas inseguras en ese horario.
La parte valiosa no es el morbo del ejemplo; es la consecuencia práctica: si puedes detectar estos patrones temprano, puedes intervenir antes con controles y capacitación específicos, en lugar de tratar a toda la organización como si tuviera el mismo perfil de exposición.
Predicción con dos motores: señal + probabilidad
El enfoque se apoya en dos componentes: un motor estadístico que vincula acciones específicas con futuras infecciones por categoría, y un clasificador que estima la probabilidad de varias clases de malware (coinminer, hacktool, PUA, ransomware, trojan y virus) para una máquina en particular.
En el mismo análisis reportan la distribución de riesgo estimado en la muestra (10.7 millones de endpoints, 217 países, 822 organizaciones, durante un mes): alrededor de 31.61% en riesgo bajo (0–20), 57.55% en rangos medios, y proporciones menores en rangos altos (61–80 y 81–100). El mensaje es importante: el riesgo “extremo” es raro, pero la mayoría vive en una zona media vulnerable, donde pequeñas mejoras pueden reducir exposición significativamente.
Qué cambia para el CISO, TI y SecOps
Aquí es donde esto se vuelve “estilo Nova”: el valor no es el modelo, sino lo que habilita.
Para el CISO, significa poder hablar de riesgo como tendencia y probabilidad, no solo como incidentes pasados. Eso habilita decisiones de inversión con lógica preventiva: dónde reforzar políticas, qué segmentos requieren intervención, qué riesgos están creciendo.
Para TI, abre la puerta a políticas más inteligentes: no se trata de bloquear por bloquear, sino de ajustar controles donde el comportamiento muestra mayor exposición (por ejemplo, control de instalación de software, endurecimiento de permisos, segmentación, reglas de navegación).
Para SecOps, reduce el tiempo perdido en lo genérico. En vez de “cazar” a ciegas, se puede focalizar en usuarios y equipos con mayor probabilidad de caer en campañas específicas, fortaleciendo defensas antes de que se materialice el brote.
Dos escenarios típicos (antes y después)
Imagina una organización con picos recurrentes de incidentes “pequeños” que consumen muchas horas: adware, PUAs, troyanos por descargas, y de vez en cuando un ransomware que escala. En el modelo reactivo, el equipo apaga incendios y corre campañas de concientización masivas que, honestamente, se sienten igual para todos.
Con un enfoque predictivo, la estrategia se vuelve quirúrgica: identificas qué perfiles y qué máquinas están en patrones de mayor exposición y aplicas controles y capacitación contextual. No “educas a todos igual”; reduces el riesgo donde de verdad está creciendo.
O piensa en una operación 24/7 donde ciertos equipos se usan predominantemente en turnos nocturnos. En vez de asumir que “es lo mismo”, puedes reforzar controles y monitoreo en esos segmentos con lógica de continuidad operativa, no con paranoia.
Cómo se conecta con el mensaje CROC
Un CROC no se trata de ver más alertas; se trata de operar el riesgo de forma continua: medir exposición, priorizar acciones y comprobar que el riesgo baja.
Este tipo de investigación encaja perfecto con ese enfoque porque transforma la gestión del riesgo en algo accionable: probabilidad + contexto + intervención. Y cuando eso se integra a una operación de riesgo (CROC), el resultado no es “más trabajo”, sino una defensa más estratégica: menos sorpresas, menos brotes y más control sobre la exposición real.
Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram, Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.
#NovaInforma
